www.seguridadinformacion.cl. c control ob objectives i for information t and related technology
TRANSCRIPT
![Page 1: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/1.jpg)
www.seguridadinformacion.cl
![Page 2: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/2.jpg)
C ControlC ControlOBOB OBjectives OBjectivesII for Information for InformationTT and Related Technology and Related Technology
![Page 3: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/3.jpg)
Origen de COBITOrigen de COBIT
Actualización de los objetivos de Actualización de los objetivos de control de ISACFcontrol de ISACF
Expansión del enfoque a las Expansión del enfoque a las necesidades de la Administración necesidades de la Administración y el Usuarioy el Usuario
Perspectiva GlobalPerspectiva Global Comité de AnálisisComité de Análisis
![Page 4: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/4.jpg)
Misión del COBITMisión del COBIT
““Para investigar, desarrollar, publicar y Para investigar, desarrollar, publicar y promover un conjunto actualizado e promover un conjunto actualizado e internacional de objetivos de control de internacional de objetivos de control de Tecnología de la Información generalmente Tecnología de la Información generalmente aceptado, para su uso diario por los aceptado, para su uso diario por los administradores del negocio y los administradores del negocio y los auditoresauditores”.”.
![Page 5: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/5.jpg)
Alcances y objetivos:Alcances y objetivos: Estándares generalmente aplicados y Estándares generalmente aplicados y
aceptados para las buenas prácticas de aceptados para las buenas prácticas de control en TI (Tecnologías de la Información)control en TI (Tecnologías de la Información)
Para Sistemas de Información de la Para Sistemas de Información de la OrganizaciónOrganización
Fundamentado en una estructura de control de Fundamentado en una estructura de control de las TIlas TI
Basado en los Objetivos de Control de ISACF.Basado en los Objetivos de Control de ISACF.
![Page 6: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/6.jpg)
Componentes del CComponentes del COBIOBITT
Resumen EjecutivoResumen Ejecutivo
Descripción de la EstructuraDescripción de la Estructura
Objetivos de ControlObjetivos de Control
Guías de AuditoríaGuías de Auditoría
![Page 7: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/7.jpg)
• Visión EjecutivaVisión Ejecutiva• AntecedentesAntecedentes• La Estructura del CLa Estructura del COBIOBITT• DefinicionesDefiniciones• Los Principios de la EstructuraLos Principios de la Estructura• Dominios y ProcesosDominios y Procesos• Relaciones entre Principios, Dominios y Relaciones entre Principios, Dominios y ProcesosProcesos
![Page 8: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/8.jpg)
Necesidad por una EstructuraNecesidad por una Estructura
Orientación al ControlOrientación al Control Relacionar objetivos de control Relacionar objetivos de control
individuales con los Estándares, individuales con los Estándares, Regulaciones y Prácticas existentes. Regulaciones y Prácticas existentes.
Usado por Auditores, Administradores y Usado por Auditores, Administradores y Usuarios Usuarios
![Page 9: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/9.jpg)
Expectativas de laExpectativas de la Administración en TIAdministración en TI
Proceso de Re-IngenieríaProceso de Re-Ingeniería
Proceso DistribuídoProceso Distribuído
OutsourcingOutsourcing
![Page 10: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/10.jpg)
Responsabilidades Administrativas TIResponsabilidades Administrativas TI
Salvaguardar ActivosSalvaguardar Activos
La Información como el ACTIVO más La Información como el ACTIVO más importante importante
![Page 11: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/11.jpg)
La Necesidad del Control La Necesidad del Control en TIen TI
AdministradoresAdministradores
UsuariosUsuarios
AuditoresAuditores
![Page 12: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/12.jpg)
Definición de ControlDefinición de Control
““Las Políticas, Procedimientos, Las Políticas, Procedimientos, Prácticas y Estructura Prácticas y Estructura Organizacional, diseñadas para Organizacional, diseñadas para proveer una razonable seguridad proveer una razonable seguridad de que los objetivos del negocio de que los objetivos del negocio serán alcanzados y los eventos serán alcanzados y los eventos indeseados serán prevenidos o indeseados serán prevenidos o detectados y corregidos.”detectados y corregidos.”
![Page 13: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/13.jpg)
Recursos de Tecnología de Recursos de Tecnología de InformaciónInformación
Datos Datos Sistemas de Aplicación Sistemas de Aplicación TecnologíaTecnología Instalaciones Instalaciones PersonalPersonal
![Page 14: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/14.jpg)
Requerimientos del Negocio hacia la Información
Requerimientosde calidad
CalidadCostoEntrega
RequerimientosFiduciarios
(Informe COSO)
Efectividad & Eficiencia de operacionesConfiabilidad de InformaciónCumplimiento con leyes & regulaciones
Requerimientosde Seguridad
ConfidencialidadIntegridadDisponibilidad
![Page 15: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/15.jpg)
Requerimientos del Negocio hacia la Información
Efectividad
Eficiencia Se relaciona con la provisión de información a través del óptimo (más productivo y económico ) uso de recursos.
Confidencialidad Se relaciona con la protección de información sensible a divulgaciónNo autorizada.
Integridad
Se relaciona con la exactitud e integridad de información así como también con su validez en conformidad con valores y expectativas del NEGOCIO.
Trata con información que es relevante y pertinente al proceso de negocio, además de ser entregada de una manera oportuna, correcta, consistente y utilizable.
![Page 16: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/16.jpg)
Requerimientos del negocio hacia la Información
Disponibilidad
CumplimientoTrata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales está sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente.
Se relaciona con la provisión de información apropiada a la gerencia para operar la entidad y para que la gerencia ejerza sus responsabilidades de informar cumplimiento.
Confiabilidad de Información
Se relaciona con información disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas.
![Page 17: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/17.jpg)
Recursos de la Tecnología de la Información (T.I.)
DatosObjetos en su más amplio sentido (es decir, externos e internos), estructurados y no estructurados, gráficos, sonidos, etc.
Los sistemas de aplicación, se entienden como la suma de procedimientos manuales y programados.
Sistemas de
Aplicación
[email protected] Pallavicini Consultores www.seguridadinformatica.cl
![Page 18: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/18.jpg)
Recursos de la Tecnología de la Información (T.I.)
Tecnología Tecnología cubre hardware, sistemas operativos, Sistemas de administración de bases de datos, redes, multimedia, etc.
Instalaciones son todos los recursos para albergar y respaldar Sistemas de información.
GenteGente incluye las destrezas, conciencia y productividad del personal para planificar, organizar, adquirir, entregar, respaldar y Monitorear sistemas y servicios de información.
Instalaciones
Tecnología
Instalación
Gente
![Page 19: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/19.jpg)
Procesos de Información Procesos de Información Tres NivelesTres Niveles
DominiosDominios
ProcesosProcesos
ActividadesActividades
![Page 20: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/20.jpg)
Dominios del Cobit
Planificación yOrganización
Este dominio cubre estrategia y táctica, y se relaciona con la identificación de la forma en que TI puede contribuir mejor al logro de los objetivos de negocios. Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica.
![Page 21: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/21.jpg)
Dominios del Cobit
Adquisición eImplementación
Para realizar la estrategia TI, se deben identificar,desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantenciónde sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.
![Page 22: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/22.jpg)
Dominios del Cobit
.
.
Entrega y Respaldo
Procedimientos manuales y programados. real de servicios requeridos, la cual va desde operaciones tradicionales en seguridad y aspectos de continuidad a capacitación. Para entregar servicios, se deben preparar los procesos de respaldo necesarios. Este dominio incluye procesamiento real de datos mediante procesos de aplicaciones, a menudo clasificados bajo controles de aplicaciones.
www.seguridadinformacion.cl
![Page 23: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/23.jpg)
Dominios del Cobit
Todos los procesos TI deben ser evaluados regularmente en el tiempo para su calidad y cumplimientocon requerimientos de control. Este dominio, por consiguiente, aborda la supervisión por parte de la gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditoría interna y externa, o se obtiene de fuentes alternativas.
Monitoreo
![Page 24: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/24.jpg)
OBJETIVOS DENEGOCIOS
COBITCOBIT
INFORMACION
PLANIFICACION &ORGANIZACION
RECURSOS TI
ENTREGA &RESPALDO
ADQUISICIÓN &IMPLEMENTACION
M1 monitorear los procesosM2 evaluar adecuación de control
internoM3 lograr garantía independiente
M4 disponer de auditoría interna
PO1 definir un plan TI estratégicoPO2 definir la arquitectura de informaciónPO3 determinar la dirección tecnológicaPO4 definir la organización TI y relacionesPO5 administrar la inversión en TI
PO6 comunicar a gerencia metas y direcciónPO7 administrar recursos humanosPO8 asegurar cumplimiento con
requerimientos externosPO9 evaluar riesgosPO10 administrar proyectosPO11 administrar calidad
· efectividad· eficiencia· confidencialidad· integridad· disponibilidad· cumplimiento· confiabilidad
AI1 identificar solucionesAI2 adquirir y mantener software de
aplicacionesAI3 adquirir y mantener arquitectura de
tecnologíaAI4 desarrollar y mantener recursos TIAI5 instalar y acreditar sistemasAI6 administrar cambios
DS1 definir niveles de servicioDS2 administrar servicios de terceros
DS3 administrar desempeño y capacidadDS4 asegurar servicio continuoDS5 asegurar seguridad de sistemasDS6 identificar y atribuir costosDS7 adecuar y capacitar a usuariosDS8 ayudar y aconsejar a clientes de TIDS9 administrar la configuración
DS10 administrar problemas e incidentesDS11 administrar datos
DS12 administrar instalacionesDS13 administrar operaciones
· gente· sistemas de
aplicaciones·tecnología·instalaciones· datos
MONITOREO
![Page 25: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/25.jpg)
Dominio Planificación y Organización
1. Definición del Plan Estratégico
2. Definición de la Arquitectura de la Información
3. Determinación de la Dirección Tecnológica
4. Definición de la organización y sus relaciones
![Page 26: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/26.jpg)
Dominio Planificación y Organización (CONTINUACIÓN)
5. Manejo de la Inversión
6. Comunicación de Políticas y los Objetivos de la Dirección
7. Administración del Personal
8. Requerimientos de Organismos Contralores Externos
![Page 27: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/27.jpg)
Dominio Planificación y Organización (CONTINUACIÓN)
9. Evaluación de riesgos
10. Administración de Proyectos
11. Administración de la Calidad
![Page 28: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/28.jpg)
Dominio Adquisición e Implementación
1. Identificar soluciones.
2. Adquirir y mantener software de aplicaciones.
3. Adquirir y mantener arquitectura de tecnología.
4. Desarrollar y mantener recursos TI.
5. Instalar y acreditar sistemas.
6. Administrar cambios.
![Page 29: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/29.jpg)
Dominio Entrega y Soporte
1. Definir niveles de servicio.
2. Administrar servicios de terceros.
3. Administrar desempeño y capacidad
4. Asegurar servicio continuo.
5. Asegurar seguridad de sistemas.
6. Identificar y atribuir costos.
7. Adecuar y capacitar a usuarios.
![Page 30: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/30.jpg)
Dominio Entrega y Soporte (continuación)
8. Ayudar y aconsejar a clientes de TI.
9. Administrar la configuración.
10. Administrar problemas e incidentes.
11. Administrar datos.
12. Administrar instalaciones.
13. Administrar operaciones.
![Page 31: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/31.jpg)
Dominio Monitoreo
1. Monitorear los procesos.
2. Evaluar la adecuación del control interno.
3. Lograr garantía independiente.
4. Disponer de auditoría interna.
![Page 32: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/32.jpg)
PO5. Manejo de la Inversión en Tecnología de Información
5.1. Presupuesto Operativo Anual para la Función de Servicios de Información. Proceso de definición de presupuesto operativo. Consideración en el proceso de:
Plan de la organización. Plan Informático.
Proceso de análisis de alternativas de financiamiento.
![Page 33: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/33.jpg)
PO5. Manejo de la Inversión en Tecnología de la Información (continuación)
5.2. Monitoreo de Costo - Beneficios. Proceso de medición, registro y control de costos
contra presupuesto. Identificación, medición y reporte de los
beneficios de la TI. Sistema de costos asociado a la Contabilidad. Proceso periodico de revisión de las unidades de
medición de beneficios de la TI.
![Page 34: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/34.jpg)
PO5. Manejo de la Inversión en Tecnología de la Información
(continuación)
5.3. Justificación del Costo - Beneficio. Proceso de verificación de los costos del servicio
de TI v/s la Industria (benchmarking). Proceso de verificación del nivel de actividades
de la TI con respecto a la Industria.
![Page 35: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/35.jpg)
PO7. Administración de Recursos Humanos
7.1. Reclutamiento y promoción de personal Políticas de reclutamiento y promoción del
personal. Proceso formal de reclutamiento y
promoción del personal. Aspectos a considerar como la educación,
experiencia y responsabilidad.
![Page 36: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/36.jpg)
PO7. Administración de Recursos Humanos (CONTINUACIÓN)
7.2. Personal calificado. Definición de requerimientos del puesto. Proceso de verificación de la calificación
de las personas.
![Page 37: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/37.jpg)
PO7. Administración de Recursos Humanos (CONTINUACIÓN)
7.3. Entrenamiento del personal. Proceso de inducción de nuevos
empleados en la Empresa. Programa de capacitación de acuerdo a
los requerimientos de cargo. Proceso periódico de revisión del
programa de capacitación.
![Page 38: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/38.jpg)
PO7. Administración de Recursos Humanos (CONTINUACIÓN)
7.4. Proceso cruzado o respaldo de personal. Identificación de los puestos claves. Programa de entrenamiento cruzado (puestos
claves). Programa de vacaciones/control de cumplimiento.
![Page 39: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/39.jpg)
PO7. Administración de Recursos Humanos (CONTINUACIÓN)
7.5. Procedimiento de acreditación del personal Procedimiento de verificación de antecedentes del
personal previo a su contratación o cambio. Consideración en el procedimiento de su situación
financiera.
[email protected] Pallavicini Consultores propiedad intelectual reservada
![Page 40: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/40.jpg)
PO7. Administración de Recursos Humanos (CONTINUACIÓN)
7.6. Evaluación desempeño de los empleados. Pauta de evaluación del desempeño de los
empleados. Consideración de estándares y responsabilidades
del cargo que ocupa el empleado. Procedimiento formal de aplicación periódica de
dicha pauta. Procedimiento formal de entrega de resultados al
empleado.
![Page 41: Www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology](https://reader033.vdocuments.co/reader033/viewer/2022042623/553397825503463e528b4881/html5/thumbnails/41.jpg)
PO7. Administración de Recursos Humanos (CONTINUACIÓN)
7.7. Cambios de puesto y despidos. Procedimiento formal y conocido, para el despido y
cambio del puesto, del personal Procedimiento para la eliminación/suspensión
inmediata de las passwords de acceso a los ambientes computacionales, sistemas y datos, de cada persona despedida o trasladada a otro cargo.
[email protected] Pallavicini Consultores propiedad intelectual del resumen en Powerpoint reservada